10 millions de données clients volés à Orange Espagne ?

Depuis plus de 18 ans, zataz.com tire la sonnette d’alarme sur les piratages de sites Internet, de leurs données. Pendant que les élus auditionnent, que les lois tentent de nous protéger, que les sociétés réfléchissent plus à leur positionnement dans Google qu’à leur sécurité, les fuites de données, les infiltrations de sites Internet, les malveillances 2.0 pullulent. Je ne veux pas être alarmiste, l’Internet est un exceptionnel outil. Mais malheureusement les pirates l’ont bien compris, nous ne sommes que des portes-monnaie sur pattes. Dernière victime en date, Orange Espagne.

La semaine dernière, le groupe de pirates informatiques Linker Squad, me contactait pour m’annoncer le piratage de plusieurs importants sites Internet [lire Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients et Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données]. Comme il me l’indiquait pour le cas d’un espace de TF1 infiltré “Notre but est de défier les sociétés victimes de nos piratages, qu’ils se rendent compte de leurs erreurs.” Dans la liste qu’ils vont me communiquer, le cas de plusieurs importantes structures 2.0, dont celui de l’opérateur téléphonique/Internet Orange Espagne.

Faille SQL, une plaie du web

Deux possibilités malveillantes ont offert l’occasion aux pirates d’accéder à des bases de données. Des espaces de stockages de noms, mails, adresses dédiés à ces pages Orange baptisées « Catalogie » et « Solidarios ». Selon les documents communiqués par les pirates à zataz.com, des dizaines de tables, dont certaines aux noms plus qu’évocateurs comme « Factures« .

Pour réussir ce vol, les pirates ont exploité une faille, une injection SQL via deux adresses réticulaires faillibles différentes [comme pour le cas de TF1/ViaPresse, NDR]. Pour rappel, Owasp, un organisme indépendant dédié à la sécurité informatique, a classé dans son top 10 les injections SQL comme étant la première plaie des applications web.

Orange enquete piratage

La filiale de l’opérateur français a pris en charge très rapidement les deux vulnérabilités et cela grâce à l’équipe sécurité Orange France contactée par le Protocole d’Alerte de zataz. Seulement, le mal était fait. « Nous avons dump la table usarios [utilisateurs, NDR] qui contient plus de 10 millions d’inscrits, nous n’en sommes qu’au début » indiquaient les pirates. Une affirmation à prendre cependant avec des pincettes. D’après les informations de ZATAZ, la table « Usarios » ne contiendrait que quelques dizaines d’adresses relatives à des salariés de l’entreprise Espagnole. Quand au dossier « eFactura » [factures, ndr], cette table aurait été vide au moment de l’attaque des troublions 2.0.

Les failles Orange Espagne ayant été corrigées, voici les adresses pour mieux comprendre la facilité d’exploitation de ce type de vulnérabilité par les pirates informatiques. Une erreur dans les urls affichait directement le problème. Les « visiteurs » n’avaient plus qu’à utiliser un logiciel pour exploiter les SQLi. : catalogoaccesible.orange.es/pages/terminales/view.php?id=13 et solidarios.orange.es/pages/actividades/historico.php?_pagi_pg=2. A noter que la seconde adresse était accessible via un https.

Les deux pirates, derrière cette attaque, ont expliqué dans les colonnes du Parisien être français, originaires de Lyon et Toulouse. Ils risquent jusqu’à 5 ans de prison et 350.000 euros d’amende. D’autant qu’ils ne sont pas à leurs coups d’essais. Ils avaient déjà agit, voilà quelques mois, sous les noms des groupes Phenomenal Crew. L’un des membres, Angry Bird, avait été arrêté, voilà quasiment un an, jour pour jour. A l’époque, ils avaient annoncé avoir piraté les bases de données de la Mutuelle Générale des Fonctionnaires et Agents de l’Etat de Côte d’Ivoire, d’un sous domaine de l’Université de Toulouse et d’une mutuelle française basée en outre-mer. Phenomenal Crew s’était reformé sous le nom de Payload Crew.

Orange voit Rouge avec les pirates

En octobre 2012, le groupe de pirates informatiques NullCrew s’invitait dans un des espaces d’une filiale l’opérateur téléphonique Orange. A cette époque, le piratage d’une base de données appartenant au portail britannique Orange (orange.co.uk). Au mois d’avril de la même année, le portail espagnol d’Orange était attaqué par un pirate du nom de Zyklon. 1,6 millions de comptes clients avaient été ponctionnés. Il y a un an, c’était une base de données « marketing » de clients qui se retrouvait dans la nature. L’opérateur sera sanctionné en août 2014 par la CNIL pour défaut de sécurité des données dans le cadre de campagnes marketing.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.